我是通過windows 2000和winroute的**方式上網。這兩天,**伺服器總是出現一些怪現象,執行程式好像很緩慢,而且還會自動重啟。難道是中了病毒?還是中了***?不管怎麼樣,先去看看再說吧。
來到機房,先把網線拔去。重啟後,執行防毒軟體,殺了一遍,並沒有發現病毒。隨後插上網線,開啟ie瀏覽器,這時奇怪的事情發生了,怎麼位址列裡有一些莫名其妙的**?難道有人用過這台電腦?我覺得事態嚴重了,可能中了***。
因為這台電腦只是用來做**服務,winroute 就開放了smtp,pop3 和dns服務。難道是windows 2000的設定上出了問題?根據一些安全設定的資料,我禁用了很多不必要的服務。打上最新的補丁,將guest賬戶禁用,將管理員賬戶修改密碼,並改了名,將磁碟的讀取許可權也做了設定,還做了一些本地安全策略。這個就不多講了,大家可以去查閱資料。經過一陣忙活,認為這樣總可以高枕無憂了。開啟**服務,讓它繼續工作。
我彷彿看到了***在網路的那端恥笑著我。到底**出問題了呢?補丁剛打過,應該沒什麼漏洞,***者到底是利用哪個埠進來的呢?轉到dos目錄下,輸入netstat -a 檢視了一下埠,除了正常的幾個,發現有乙個3129埠被人在使用。
我只記得winroute 裡的**用到了3128埠,難道這個3129埠也和winroute 有關?檢視了一下資料,發現***master paradise開放3129埠。而且這台電腦一般就執行winroute 服務,想到這裡馬上開啟winroute 控制介面,在裡面仔細搜尋了一番,果然發現在「設定→高階」中有一項 「remote administration」,它預設就允許遠端控制,而預設開放的埠恰好是3129。
原來是winroute 留下的後門。因為很多資料對winroute 的設定有詳細的介紹,但遠端控制控制台的功能講得比較少,所以大家也都不是很在意這個地方。但它確實可以被一些***所利用,而且危害非常大。在這裡想提醒各位使用winroute的朋友,最好把這一功能去掉,以絕後患。**終於找到了,我平時也不怎麼用遠端控制,就將這一選項去掉。然後在像剛才那樣做了一番設定,終於把***者的這扇門堵上了。
一次WinRoute後門攻防實況
我是通過windows 2000和winroute的 方式上網。這兩天,伺服器總是出現一些怪現象,執行程式好像很緩慢,而且還會自動重啟。難道是中了病毒?還是中了木馬?不管怎麼樣,先去看看再說吧。來到機房,先把網線拔去。重啟後,執行防毒軟體,殺了一遍,並沒有發現病毒。隨後插上網線,開啟ie瀏覽器,這時...
一次後門清除
最近學校的乙個 被掛了黑鏈,被叫去做技術支援 簡單介紹一下具體情況 訪問 根目錄下的乙個檔案 顯示的是黑鏈位址,但是我登入到伺服器上定位到根目錄的時候卻找不到這個檔案。開始以為是檔案設定了隱藏,不過修改之後還是不可以。然後懷疑黑客在伺服器上做了虛擬目錄,然後全盤搜尋檔案 yule 奇怪的是全部碟符下...
一次對php大馬的後門的簡單分析
有人分享了乙個php大馬 說是過waf 八成有後門,簡單分析了一次 password shiqi 登入密碼 支援菜刀 功能程式 c chr session start if empty session phpcode un c 103 c 122 c 105 c 110 un.c 102 c 108...